Почему не удается разрешить имена?

Question

[Delb228]

Главный роутер: MikroTik 192.168.151.1
Второй роутер: MikroTik 192.168.151.250
Оба находятся в одной сети 192.168.151.0/24
На 192.168.151.1 включён DNS‑сервер + статические A‑записи:
wpad.sno-proxy.sno.lockdoc.ru → 192.168.151.2
На роутере 192.168.151.250:
ping 192.168.151.1 → работает
ping 192.168.151.2 → работает
ping wpad.sno-proxy.sno.lockdoc.ru → resolve failed
ping yandex.ru → resolve failed
На роутере 192.168.151.1 сделал правило - 0 chain=input action=accept protocol=udp src-address=192.168.151.250 log=no log-prefix="" - Делаю пинг с 151.250 - 1 пакет на 151.1 получает роутер, но то ли вернуть не может то ли еще что
В wireshark картина такая -

Comments

[AUser0]

Так на центральном Mikrotik в Tools/Packet Sniffer отследите, приходят DNS-запросы или нет, и ответ должен отправляться...

[pilligrimm]

Если ping делаете посредством Windox (Tools/Ping), надо учитывать, что до RouterOS 7.(не помню какая ревизия) DNS в утилитах резорвились средствами OS на которой установлен Winbox. Т.е. ping ya.ru с роутера - ya.ru резолвил мой комп. И только совсем недавно вышло обновление, где это поправили. Так что в первую очередь необходимо обновить прошивку.
Ну а дальше, если статическая запись прописана на 151.1, то на 151.250 в dns первым(и желательно единственным) должен быть прописан 151.1

Answer 1

[AlexVWill]

На 192.168.151.1 включён DNS‑сервер + статические A‑записи:
wpad.sno-proxy.sno.lockdoc.ru → 192.168.151.2

Я так понимаю, что второй микротик - клиент первого, они последовательно соединены.
Если я точно помню, то статика на роутере действует только для самого роутера, для клиентов приоритет это ресолвинг с того DNS, которым они пользуются и который для них прописан. Чтобы для них ресолвился какой то специфический адрес - его надо указать в DNS.
Ну и

spoiler

alex@alex-ubuntu:~$ dig @8.8.8.8 wpad.sno-proxy.sno.lockdoc.ru

; <<>> DiG 9.18.39-0ubuntu0.24.04.3-Ubuntu <<>> @8.8.8.8 wpad.sno-proxy.sno.lockdoc.ru
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 1939
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;wpad.sno-proxy.sno.lockdoc.ru. IN A

;; AUTHORITY SECTION:
lockdoc.ru. 1800 IN SOA s1.tardishost.ru. root.tardishost.ru. 2025053658 10800 3600 604800 86400

;; Query time: 2098 msec
;; SERVER: 8.8.8.8#53(8.8.8.8) (UDP)
;; WHEN: Fri May 15 11:49:35 MSK 2026
;; MSG SIZE rcvd: 113

Сервер говорит, что домена не существует.

Comments

[Delb228]

Я так понимаю, что второй микротик - клиент первого, они последовательно соединены.

Все так, единственное что может стоять между ними неуправляемый комутатор

Если я точно помню, то статика на роутере действует только для самого роутера, для клиентов приоритет это ресолвинг с того DNS, которым они пользуются и который для них прописан. Чтобы для них ресолвился какой то специфический адрес - его надо указать в DNS.

На роутере который 151.250 включен dhcp-client который получает dns сервер 151.1

Ну и spoiler

Прокси локальный в интернет он не проброшен

[AlexVWill]

Delb228, я обрати внимание только что у тебя и яндекс не ресолвится (проверь другие домены), значит DNS запросы на втором роутере либо не отправляются, либо не получаются от DSN сервера (либо он не работает).
Нужно больше инфо. Что за DNS сервер ты пытаешься настроить (судя по скрину ниже это DOH сервер, проверь, он точно рабочий?), как именно настройка DNS на втором реализовыана и пр.
Вообще, какая то странная конфигурация, у тебя на скрине какой то статический DNS сервер 192.168.240.1, какая то отдельная машина во внутренней сети его роль выполняет что-ли?
В общем ничего не понятно.
Если на втором микротике все те же настройки DNS прописать, что и на первом - есть ли проблемы с ресолвингом?
И вообще, концептуально, какая конечная цель всех этих упражнений? Если надо чтобы один микротик просто видел какой то IP через указание домена, просто убери все настройки DNS, оставь статический 8.8.8.8 и 8.8.4.4 и пропиши на втором микротике конкретный адрес с IP для ресолвинга

[Delb228]

На 151.1 - настроен тунyель до отдельного ДНСа он тоже на микротике, он работает его во внимания я думаю не стоит брать. На 151.1 все имена хорошо разрешаются.
На 151.250 - ничего не разрешается, если прописать там DoH с сервером 1.1.1.1 - да, работать будет, но мне бы понять в чем проблема почему мне 151.1 ответить не может?
В целом 151.250 - чисто свитч без каких либо настроек, на нем включен бридж и дшсп клиент

Answer 2

[Пума Тайланд]

Allow Remote Requests на .1 включи (IP → DNS) — без него DNS только для себя.

Comments

[Delb228]

Включен

[Пума Тайланд]

раз включено — глянь IP → DNS → Servers, там должен стоять адрес (8.8.8.8 или провайдерский). И флушни кеш: /ip dns cache flush.

[AlexVWill]

Пума Тайланд,

там должен стоять адрес (8.8.8.8 или провайдерский)

Это не обязательно, сервера можно получить динамически, но тут я согласен - судя по скрину какая то отдельная машина в сети еще и DNS. Это что за адрес?

Answer 3

[Dumatel]

А если редиректить DNS?

/ip firewall nat
add action=redirect chain=dstnat dst-port=53 in-interface-list=LAN protocol=udp
add action=redirect chain=dstnat dst-port=53 in-interface-list=LAN protocol=tcp

Для ответа на пинг на 151.1 наверное нужно добавить разрешающее правило в input для icmp